Wir sehen gerade eine hohe Anzahl verschlüsselter Anhänge hereinkommen. Muster des Dateinamens: "Zahl"-BST-SH.zip Wir gehen von Malware aus
Verschlüsselte Archive entziehen sich erstmal dem Virenscan. Vorsicht beim Öffnen ist geboten.
Ein weiteres Muster taucht auf: DOC"Zahl"-"längere Zahl".zip
Heute ist das Muster TCR"Zahl".zip, Zahl ist vierstellig
Wir sehen seit ca. 13:00 E-Mails mit Anhängen in Form verschlüsselter ZIP Files. Die Filenamen haben das Muster "in_lange Zahl". Wir gehen von einer Malware Attacke aus.
Verschlüsselte Archive werden gerne verwendet, um der Detektion durch Virenscanner zu engehen.
Die Kolleginnen und Kollegen der DFN-PKI gehen "derzeit davon aus, dass es ab 28.08.2023 in GÉANT TCS zu einer Unterbrechung der Zertifikataustellung für Client-Zertifikate von schwer vorhersehbarer Dauer kommen kann. Für Server-Zertifikate sind keine Probleme zu erwarten."
wir bitten daher alle Nutzenden, die darauf hingewiesen wurden, dass ihr Client-Zertifikat in den kommenden Wochen ausläuft, ein neues Client-Zertifikat vor dem 28.8.2023 zu beziehen.
"Für eine Wiederaufnahme der S/MIME-Zertifikatausstellung nach *neuen* Regeln fehlen derzeit noch Voraussetzungen. Von Sectigo haben die DFN Kollegen bisher keine Informationen über Zeitpläne bekommen ... Da die Zertifikat-Profile noch unvollständig sind (s.u.), ist es derzeit aber noch nicht sinnvoll Zertifikate zu beantragen"
Es ist ab sofort wieder möglich, im RA-Portal Client-Zertifikate zu beantragen.
Am Montag 26.06.2023 werden zwischen 18:00 und 21:00 Uhr Wartungsarbeiten an den PKI-Systemen des DFN vorgenommen. In dem Zeitraum ist das Erstellen von Zertifikat- und Sperranträgen sowie das Bearbeiten und Genehmigen bereits eingereichter Anträge nicht möglich. Dies betrifft die Zertifikate für die "DFN-PKI Global" bzw. "DFN-Verein Community PKI" wie sie auf der nachstehenden Seite beschrieben werden https://help.itc.rwth-aachen.de/service/81a55cea5f2b416892901cf1736bcfc7/ Das LDAP-Verzeichnis (aka DFN-Adressbuch) sowie der CRLs und OCSP sind nicht betroffen Anfragen, die über das RA-Portal gestellt werden, sind ebenfalls nicht (!) betroffen.
Downtime für pki.pca.dfn.de/ra.pca.dfn.de
Derzeit "tobt" wieder die Qakbot-Welle durch die Hochschule. Es werden Antworten auf alte E-Mails verschickt, die in Postfächern mit kompromittierten Zugangsdaten gelandet sind.
Es gibt zwei Varianten: a) Text wird zitiert und kommentarlos ein Link zur Schadsoftware darüber gesetzt b) ein PDF ist attached, welches mit Adobe-Logo einen "Open-Button" enthält, der wiederum ein Link zur Schadsoftware ist Die Schadsoftware ist auf Windowssysteme gerichtet. Es hilft, uns zeitnah die Schadsoftware-URLs zukommen zu lassen um diese in Sicherheitspolicies zu integrieren.
Aktuell sehen wir sehr viele PDF Anhänge, deren Name aus genau zwei Buchstaben in Großschrift bestehen (z.B. AT.pdf). In den Emails selber werden meistens alte Nachrichten zitiert.
Zusätzlich zu den bereits implementierten Blocklisten wurde jetzt ein weiterer "Threat Intelligence" Service des Herstellers in Betrieb genommen.
Getestet wird derzeit Forcepoint Threatseeker mit den Kategorien: Security/Bot Networks/Sites that host the command-and-control centers for networks of bots that have been installed onto users' computers. (Excludes webcrowlers) Security/Advanced Malware/Protects against inbound network transmissions of payloads intended to exploit a machine. Security/Malicious Web Sites/Sites that are infected with a malicious link or iFrame. Ich bitte den holprigen Start gestern zu entschuldigen.
Die gefilterten Kategorien werden erweitert um: Phishing and other Frauds: Sites that counterfeit legitimate sites to elicit financial or other private information from users Compromised Websites: Sites that are vulnerable and known to host an injected malicious code or unwanted content.
Derzeit sind HTML Anhänge an E-Mails unterwegs, die einen lateinischen Namen (z.B. voluptate.html) haben und auch lateinischen Text enthalten. Diese laden per Javascript Windows-Malware nach. Wir empfehlen, entsprechende E-Mails einfach zu löschen.
Blockieren von Javascript als Default funktioniert zur Absicherung. Erstmal liegenlassen der E-Mails ist auch eine gute Sicherungsmaßnahme, im Laufe des nächsten Tages spätestens tauchen die URLs in Blocklisten auf, die auch in der RWTH-Firewall umgesetzt werden. Die Anhänge haben eine Größe von wenigen Kilobyte.
Es häufen sich aktuell die Meldungen bzgl. Phishing E-Mails, die suggerieren im Auftrag des Lehrstuhlinhabers/-in zu kommen und um Unterstützung etc. bitten Betreff ist bisher immer "Available?" Der im E-Mail Client angezeigte Absender endet (bisher) auf bk.ru Diese E-Mail gerne als Anhang an phish@access.ironport.com um gemeinsam die Detektion bei unserem E-Mail Dienst zu trainieren/verbessern. Alle anderen verdächtigen E-Mail als Anhang (!) und auf dem gewohnten Weg gerne zu uns.
Seit heute ca. 13:00 läuft eine Welle von E-Mails ein, in denen eine "Antwort" auf eine ältere E-Mail mit einem Link zu Schadsoftware enthalten ist.
Sollte sich die Antwort auf eine E-Mail aus einer 1-zu-1 Kommunikation beziehen, ist das potentiell interessant und wir würden Daten dazu unter csi@rwth-aachen.de entgegennehmen.
Da keine Server-Zertifikate (!) mit Browser- und Betriebssystemverankerung (Sicherheitsniveau "Global") der DFN-PKI ausgestellt werden, wurde der bereits im DNS eingetragene CAA record für den Trusted Certificate Services von GÉANT (aktuell Sectigo) als Standard-Zertifizierungsstelle definiert - dadurch ist dieser über den DNS-Admin nicht löschbar bzw. wurde in den Zonen, wo dieser noch nicht eingetragen war, hinzugefügt. Dies betrifft nur neu auszustellende Server-Zertifikate, bereits ausgestellte Zertifikate werden nicht tangiert, auch bestehende Einträge für andere CA wurden beibehalten.
Auf Basis der publizierten Angriffe auf das Video-Ident Verfahren bei einigen Anbietern durch den CCC e.V. hat die DFN-PKI das Verfahren vorerst suspendiert und es gilt daher, dass das Verfahren ab sofort NICHT MEHR ZULÄSSIG ist. Es findet aktuell eine Prüfung statt ob, wann und wie das Verfahren fortgeführt werden kann.
Wegen einer DFN-PKI interne Systemumstellung/Wartung mit Datenbankmigration, stehen jeweils ab 08:00 Uhr für ca. 8 Stunden folgende Dienste - sowohl über die Webschnittstelle als auch über das SOAP Interface - nicht zur Verfügung: Erstellen von Zertifikat- und Sperranträgen sowie Bearbeiten und Genehmigen von Anträgen